GitHub Copilot 与 Visual Studio 漏洞可致攻击者绕过安全防护功能
微软披露了 GitHub Copilot 和 Visual Studio 中存在的两个高危安全漏洞,攻击者可利用这些漏洞绕过关键安全防护机制。这两个漏洞均于 2025 年 11 月 11 日公开,被评定为"重要"风险等级。
Visual Studio 路径遍历漏洞
首个漏洞编号为(CVE-2025-62449),源于路径名处理机制存在缺陷,属于路径遍历漏洞(CWE-22)。该漏洞可使攻击者访问本地系统受限区域之外的文件和目录。
该漏洞 CVSS 评分为 6.8 分,攻击复杂度较低,攻击者需具备有限权限的本地访问权限。虽然需要用户交互才能触发漏洞,但一旦被利用,将导致高机密性和完整性影响,以及有限的可用性影响。
由于攻击媒介为本地方式,攻击者必须已具备一定程度的系统访问权限。值得注意的是,Visual Studio 作为主流开发环境,该漏洞可能导致敏感源代码和配置文件面临未授权访问风险。
| CVE编号 | 产品 | 影响 | 缺陷类型 | CVSS评分 |
|---|---|---|---|---|
| CVE-2025-62449 | Visual Studio | 安全功能绕过 | CWE-22: 路径遍历 | 6.8 |
| CVE-2025-62453 | GitHub Copilot | 安全功能绕过 | CWE-1426: AI输出验证 | 5.0 |
GitHub Copilot AI输出验证缺陷
第二个漏洞(CVE-2025-62453)涉及生成式AI输出验证不当(CWE-1426)及保护机制失效(CWE-693),专门影响GitHub Copilot的AI生成代码建议功能。该漏洞CVSS评分为5.0分,攻击者可能通过操纵AI输出来绕过安全检查或注入恶意代码建议。
该漏洞尤其值得警惕,因为开发者往往未经严格审查就直接采纳AI助手的代码建议。攻击者可利用此漏洞通过被篡改的代码建议,在项目中植入后门或安全缺陷。虽然这两个漏洞都需要用户交互和本地系统访问权限,但对开发团队而言风险重大。
微软已通过官方CVE渠道发布补丁,使用GitHub Copilot和Visual Studio的开发者应立即更新。此次漏洞披露凸显了AI辅助开发工具日益突出的安全问题,以及实施前验证生成代码的重要性。
建议各组织审查其AI代码生成工具相关的开发实践和安全策略。开发团队应查阅微软官方安全公告获取可用补丁,并对所有AI生成的代码建议实施严格的代码审查流程。